Cos'è un attacco DDoS e come proteggersi

Cos'è un attacco DDoS?

Un attacco DDoS (Distributed Denial of Service) è un tentativo di rendere un sito o un servizio online indisponibile inondandolo con un'enorme quantità di traffico fittizio. Immagina migliaia di persone che cercano di entrare contemporaneamente in un piccolo negozio: i clienti veri non riescono a entrare perché la porta è bloccata. Allo stesso modo, un attacco DDoS sovraccarica il tuo server di richieste, impedendo ai visitatori legittimi di raggiungere il tuo sito.

La parola "Distributed" è la chiave: l'attacco non proviene da una sola fonte, ma da migliaia o milioni di dispositivi compromessi (una botnet) in tutto il mondo. Questo rende il blocco più difficile, perché non puoi semplicemente bloccare un singolo IP.

Tipologie di attacchi DDoS

Attacchi volumetrici (Layer 3/4)

Questi attacchi cercano di inondare il tuo server o la tua infrastruttura di rete con enormi volumi di dati. L'obiettivo è consumare tutta la banda disponibile in modo che il traffico legittimo non riesca a passare.

• UDP Flood: invia enormi volumi di pacchetti UDP verso porte casuali del server. Il server consuma risorse cercando di elaborare ogni pacchetto.
• ICMP Flood (Ping Flood): inonda il server con pacchetti ICMP echo request. Semplice ma efficace contro i siti più piccoli.
• DNS Amplification: sfrutta server DNS aperti per amplificare l'attacco: una piccola richiesta genera una risposta enorme inviata alla vittima.

Attacchi di protocollo (Layer 3/4)

Questi attacchi sfruttano le debolezze dei protocolli di rete per esaurire le risorse del server o degli apparati di rete come firewall e load balancer.

• SYN Flood: invia un volume enorme di richieste TCP SYN senza completare l'handshake. Il server mantiene connessioni semiaperte che consumano memoria.
• Ping of Death: invia pacchetti malformati o sovradimensionati che possono mandare in crash il server.
• Smurf Attack: utilizza indirizzi broadcast per amplificare il traffico ICMP verso la vittima.

Attacchi applicativi (Layer 7)

Il tipo di attacco più sofisticato, che prende di mira le applicazioni web. Questi attacchi imitano il traffico legittimo e sono difficili da distinguere dai visitatori reali.

• HTTP Flood: invia richieste HTTP GET o POST legittime in volumi enormi. Ogni richiesta sembra normale, ma insieme sovraccaricano il server.
• Slowloris: apre molte connessioni verso il server e le mantiene aperte inviando richieste incomplete. Il server tiene tutte le connessioni attive finché le risorse non si esauriscono.
• Attacchi mirati alle applicazioni: colpiscono funzioni specifiche del sito (ricerca, login, endpoint API) che richiedono più risorse del server per essere elaborate.

Come riconoscere un attacco DDoS?

Gli attacchi DDoS si manifestano attraverso diversi sintomi che dovresti riconoscere il prima possibile:

• Il sito è estremamente lento: le pagine si caricano molto più lentamente del solito o non si caricano affatto.
• Il server non è disponibile: ricevi errori 502 Bad Gateway, 503 Service Unavailable o timeout.
• Picco di traffico anomalo: le analytics mostrano un enorme picco di visite che non può essere spiegato da motivi normali.
• CPU/RAM elevate sul server: le risorse del server sono al 100% senza un motivo evidente.
• Richieste da località insolite: se il tuo sito è in italiano e improvvisamente ricevi migliaia di visite dalla Cina o dal Brasile, è sospetto.

Protezione tramite Cloudflare

Cloudflare è il servizio di protezione DDoS più noto ed è disponibile con un piano gratuito che copre la protezione di base. Ecco come funziona:

Come Cloudflare protegge il tuo sito

Cloudflare agisce come intermediario tra il tuo sito e i visitatori. Tutto il traffico passa attraverso la rete Cloudflare, con oltre 300 data center in tutto il mondo. Il traffico malevolo viene filtrato prima di raggiungere il tuo server.

• Rete Anycast: distribuisce l'attacco su molte località invece di far convergere tutto il traffico su un solo server.
• WAF (Web Application Firewall): filtra le richieste malevole a livello applicativo.
• Rate Limiting: limita il numero di richieste da un singolo IP entro una finestra temporale.
• Bot Management: utilizza il machine learning per distinguere i visitatori legittimi dai bot.
• Under Attack Mode: una modalità speciale che mostra una pagina di challenge JavaScript prima dell'accesso, bloccando la maggior parte degli attacchi automatizzati.

Configurare Cloudflare

• Crea un account gratuito su cloudflare.com.
• Aggiungi il tuo dominio e modifica i nameserver presso il registrar impostando i nameserver di Cloudflare.
• Attiva lo stato "Proxy" (nuvola arancione) per tutti i record DNS che vuoi proteggere.
• Imposta la modalità SSL su "Full (strict)" per la crittografia HTTPS.
• Configura il Security Level su "Medium" o "High" per i siti sensibili.

Protezione a livello di hosting

Un provider di hosting di qualità è la tua prima linea di difesa contro i DDoS. A cosa fare attenzione:

• Firewall di rete: un firewall hardware che filtra il traffico malevolo prima che raggiunga il server.
• DDoS mitigation: rilevamento e blocco automatici dei DDoS a livello di rete.
• Isolamento degli account: sull'hosting condiviso, CloudLinux/CageFS garantisce che un attacco su un account non influisca sugli altri.
• ModSecurity/WAF: un Web Application Firewall a livello di server che protegge dagli attacchi Layer 7.
• Rate limiting: limitazione del numero di connessioni per IP a livello di web server (LiteSpeed/Apache).

Misure di protezione aggiuntive

A livello di applicazione

• CAPTCHA sui moduli: impedisce l'invio automatizzato dei moduli. Google reCAPTCHA o hCaptcha sono opzioni gratuite.
• Rate limiting sul login: limita il numero di tentativi di accesso (Wordfence per WordPress, Fail2ban sul server).
• Caching: le pagine in cache consumano molte meno risorse per richiesta. Scopri di più nella nostra guida alla velocità del sito, che rende il tuo sito più resistente agli attacchi.
• Disabilita XML-RPC: sui siti WordPress, xmlrpc.php è un bersaglio comune di attacchi. Disabilitalo se non lo usi.

A livello di server

• Fail2ban: blocca automaticamente gli IP che mostrano comportamenti malevoli (troppi login falliti, troppe richieste).
• Regole iptables/nftables: imposta regole di base per bloccare il traffico palesemente malevolo.
• TCP SYN cookies: protezione a livello di kernel contro gli attacchi SYN Flood.
• Limiti di connessione: limita il numero massimo di connessioni simultanee per IP.

Cosa fare durante un attacco DDoS?

• Non farti prendere dal panico: la maggior parte degli attacchi DDoS dura da pochi minuti a poche ore. Raramente si prolungano oltre un giorno.
• Attiva la Under Attack Mode di Cloudflare: se usi Cloudflare, abilita subito questa modalità.
• Contatta il tuo provider di hosting: avvisalo dell'attacco: può applicare misure aggiuntive a livello di rete.
• Analizza i log: esamina gli access log per individuare i pattern dell'attacco (range di IP, stringhe user-agent, URL presi di mira).
• Documenta l'attacco: annota orario di inizio, durata, tipologia di attacco e azioni intraprese per riferimento futuro.

Conclusione

Gli attacchi DDoS sono una realtà dell'internet moderno e nessun sito è del tutto immune. Tuttavia, con le giuste protezioni (Cloudflare, hosting di qualità, WAF e buone pratiche di sicurezza di base) puoi ridurre notevolmente il rischio e minimizzare l'impatto di un attacco. La prevenzione è sempre più economica della cura: metti in atto le protezioni prima di averne bisogno. Leggi anche la nostra guida completa alla protezione del sito.